Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel Verilerin Yurt Dışına Aktarılmasında “Yeterli Korumanın Bulunduğu Ülkelerin” Açıklanmamış Olmasının Yarattığı Sorunlar ve Çözüm Önerileri

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kişisel verilerin işlenmesini; verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, hatta elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi, veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlamıştır. Bu tanımdan yola çıkarak Kanun’un, kişisel verilerin tüm hayatını, ilk oluşumundan yok oluşuna kadar düzenlediğini söyleyebiliriz.

Kişisel Verilerin korunması sürecine bir bütün olarak baktığımızda en önemli parçalardan birinin veri aktarımı konusu olduğunu görüyoruz. Teknolojik gelişmelere bağlı olarak verilerin son derece kolay, hızlı ve zahmetsizce aktarılabilmesi mümkün olmuştur. Bu şartlar altında aktarımın yöntemi ve güvenliği, özel önem atfedilmesi gereken bir konu olarak karşımıza çıkmaktadır.

I. KİŞİSEL VERİLERİN AKTARILMASININ KOŞULLARI

Kanun’un 8.maddesi kişisel verilerin aktarılması konusunu düzenlemiştir. Kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak, normal nitelikli kişisel veriler;

• Kanunlarda açıkça öngörülmesi,

• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için veri aktarımının zorunlu olması,

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

• İlgili kişinin kendisi tarafından alenileştirilmiş olması,

• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

 hallerinde ilgili kişinin açık rızası aranmaksızın aktarılabilmektedir (Kanun’un 5.maddesinin 2. fıkrası).

Özel nitelikli kişisel verilerden kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi sorulmaksızın veri aktarımı yapılabilir. Hatta diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri. Hatta biyometrik ve genetik verileri, kanunlarda öngörülmüş olmak koşulu ile ilgili kişinin açık rızası aranmaksızın aktarılabilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesidir.

Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler ve yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası alınmadan aktarılabilir (Kanun’un 6.maddesinin 3.fıkrası). Kişisel verilerin yurt dışına aktarılması için yukarıda açıklanan yurt içinde aktarılma koşullarına ek bazı önlemler, Kanun’un 9. maddesinde öngörülmüştür.

Buna göre kişisel verilerin yurt dışına aktarılması ile ilgili kişinin açık rızası alınmadan aktarılması için Kanun’un 5.maddesi 2.fıkrası ve 6.maddesinin 3.fıkrasında belirtilen şartlara uyulması. Buna ek olarak, kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması gerekmektedir.Yeterli korumanın bulunmaması halinde Türkiye ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) iznini alması gerekmektedir.

II. KİŞİSEL VERİLERİN İLGİLİ KİŞİNİN AÇIK RIZASI ALINMADAN YURT DIŞINA AKTARILMASI

Aktarımını yapacağımız kişisel veriler, Kanun’un 5.maddesi 2.fıkrası ve 6.maddesinin 3.fıkrasında belirtilen şartlardan en az birini sağlıyorsa, aktarımın ilgili kişinin açık rızasını almadan Kanun’a uygun olarak yapılması için, aktarım yapacağımız ülkede yeterli koruma olup olmadığına bakmamız gerekmektedir.

Kanun’un 9.maddesinin 3.fıkrası yeterli koruma bulunan ülkelerin Kurulca belirleneceğini belirtmiş ise de Kanun’un yayım tarihi olan 24 Mart 2016 tarihinden beri bu ülkelerin hangileri olduğu açıklanmamıştır. Bu durum pratikte ciddi sorunlara neden olmaktadır. Yeterli koruma bulunan ülkeler açıklanmadığı için, aktarımı yapılacak kişisel verilerin Kanun’da belirtilen ve yukarıda açıklanan şartlardan en az birini taşımasına rağmen Veri sorumluları aktarımı yapıp yapmamaya veya yapacaksa ne şekilde yapması gerektiğine karar verememektedir.

Büyük ölçekli kurumlarda, aktarılan verilerin çok fazla olması nedeniyle, ilgili kişilerden her bir aktarım sırasında açık rıza alınması uygulamada çok zordur. Hatta bazı durumlarda imkansız olabilmekte ve şirketin faaliyetlerini engelleyecek boyutlara gelebilmektedir. Kurul yeterli koruma bulunan ülkeleri açıklayana kadar bu sorunla karşılaşan kurumlar, Kanun’un 9.maddesi 2. fıkrasının (b) bendinde yer alan yolu izleyebilir. 

III. Verinin Aktarılacağı Ülkede Yeterli Koruma Bulunmaması Durumunda;

Kanun, kişisel verinin yurt dışına aktarılması için ülkede yeterli koruma bulunmaması durumunda Türkiye ve ilgili yabancı ülkedeki veri sorumlularının yeterli  korumayı yazılı olarak taahhüt etmeleri ve Kurul’dan izin almaları koşuluyla, kişisel verilerin ilgili kişinin açık rızası alınmadan aktarılabileceğini düzenlemiştir.

Öncelikle veri sorumlusunun aktarım yapacağı yurt dışında yer alan tarafın, veri sorumlusu mu yoksa veri işleyen mi olduğunu tespit ederek, uygun bir taahhütname hazırlaması gereklidir. Çünkü veri sorumlusundan veri sorumlusuna aktarım taahhütnamesinde yer alan koşullar ile Veri sorumlusundan veri işleyene aktarım taahhütnamesinde yer alan koşullar ve alınacak önlemler farklı olacaktır. Kurul’un internet sitesinde örnek taahhütnameler yer almaktadır. Bu örneklerden yola çıkarak hazırlanan taahhütnameler karşılıklı olarak imzalandıktan sonra izin için Kurul’a iletilmelidir.

Kurul bu iki taraf arasında aktarıma izin verirse, aktarım yapılacak kişisel veriler, Kanun’un 5.maddesi 2.fıkrası ve 6.maddesinin 3.fıkrasında belirtilen şartlardan en az birini sağlama koşulu göz ardı edilmeden, ilgili kişinin açık rızası olmaksızın aktarılabilir. Biraz zahmetli görünse de Kurul tarafından güvenli ülkeler açıklanana kadar açık rıza almadan yurt dışına kişisel veri aktarmanın en güvenli yolu bu olacaktır.

Öte yandan tavsiyemiz olarak kabul edilmemek koşulu ile uygulanabilecek bir diğer pratik yöntem daha vardır. Aktarım yapılan ülkenin yakın zamanda yeterli koruma bulunan ülkelerden biri olarak açıklanacağı olasılığı dikkate alınarak hareket edilmesidir. Bu ülkelerin hangileri olabileceğinin tahmini, yakın zamana kadar imzalanan anlaşmalara bakılarak yapılabilir. Tahmin, ülkelerin kişisel verilerin korunması alanındaki mevzuatı, ülkenin Avrupa Birliği ülkesi olup olmaması gibi faktörler düşünülerek yapılıyordu. 11 Haziran 2019 tarihinde Kurul’un internet sitesinde “yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterler”in açıklanmasıyla birlikte bu tahminin yapılması daha gerçekçi bir nitelik kazanmıştır.

IV. KİŞİSEL VERİLERİN KORUNMASI KANUNUNA GÖRE İLGİLİ ÜLKEDE OLMASI GEREKENLER

  • Karşılıklılık (benzer düzenlemenin) olması,
  • Kişisel verilerin işlenmesine ilişkin mevzuatın yürürlükte olması,
  • Bağımsız veri koruma otoritesinin varlığı,
  • Kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olunması

 uluslararası kuruluşlara üye olma durumu,

  • Türkiye’nin üye olduğu küresel ve bölgesel örgütlere üye olma,
  • Türkiye ile yürütülen ticaretin hacmi,

başta olmak üzere farklı kriterler incelenecek ve beklenen yeterli koruma bulunan ülkelere ilişkin açıklama yukarıdakiler ve Kurul’un re’sen belirleyeceği diğer  kriterler esas alınarak yapılacaktır.

Yayınlanan metinde “incelenen ülke” ve “incelenen ülkenin ilgili kuruluşu” şeklinde iki başlık yer almaktadır. Dolayısıyla bu kriterlerin hem kurul tarafından ülkelerin belirlenmesinde hem de bahsetmiş olduğumuz taahhütname ile Kurul’dan izin istendiğinde kullanılacağını söyleyebiliriz.

Kurul’un yeni yayınladığı bu kriterlerden sonra yeterli korumanın bulunduğu ülkelerin açıklanmasının yakın olduğunu düşünmekteyiz. Bu süreçte Kanun’a uygun hareket edilmesi açısından ülkeler açıklanana kadar tavsiye ettiğimiz ilk yolun izlenmesi gerekmektedir. Çünkü Kurul’dan izin alınarak hareket edilmesi en güvenli yöntem olacaktır.

Av. Elif Çeviker

 

 

Uyarı: Yukarıdaki bilgi ve görüşlerimiz sadece yol gösterme amaçlıdır ve yasal tavsiye alma olarak değerlendirilemez. Vona Hukuk Bürosu, doğru ve güncel içerikli bilgiyi sağlamak için her türlü çabayı göstermektedir ancak, bu makalenin yayımlanmasından sonra yürürlüğe girebilecek olan yasa ve mevzuatlarda yapılan değişiklikler nedeniyle en güncel yasal gelişmeleri yansıtmayabilir. Bu nedenle, bu makaledeki hiçbir şey yasal tavsiye olarak görülmemeli ve herhangi bir karar vermeden veya bu makalede yer alan bilgilere dayanarak herhangi bir işlem yapmadan önce avukatlara danışmalısınız.

Okuyucu Etkileşimi

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.